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(57) Abstract 

An area and a process file are assigned to each program to be protected. The process or processes that may run in the corresponding 
area are stored in a process file. When the program is running, a process attempting to access the program is checked to confirm whether the 
accessing process is included in the corresponding process file. The accessing process is only executed when it is included in the process 
file. 



(57) Zusammenfassung 

Es wird jedem zu schtitzenden Programm jeweils ein Bereich und eine ProzeB-Datei zugeordnet. In einer ProzeB-Datei ist gespeichert, 
welcher ProzeB oder welche Prozesse in dem jeweiligen Bereich ablaufen darf oder diirfen. Wahrend des Ablaufs des Programms wird fur 
einen ProzeB, der auf das Programm zugreifen will, iiberpruft, ob der zugreifende ProzeB in der entsprechenden ProzeBdatei angegeben ist. 
Der zugreifende ProzeB wird nur ausgefuhrt, wenn er in der ProzeBdatei angegeben ist. 
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Beschreibung 

Verfahren, Anordnung sowie ein Satz mehrerer Anordnungen zum 
Schutz mehrerer Programme und/oder mehrerer Dateien vor einem 
5 unbefugten Zugriff durch einen ProzeB 

Die Erfindung betrifft ein Verfahren, eine Anordnung sowie 
ein Satz mehrerer Anordnungen zum Schutz mehrerer Programme 
vor einem unbefugten Zugriff durch einen ProzeB. 

10 

Ein Verfahren und eine Anordnung zum Schutz mehrerer Program- 
me vor einem unbefugten Zugriff durch einen Anwender ist aus 
[1] Oder [6] bekannt. Der Zugriff sschutz fur ein Programm ist 
bei dem Verfahren aus [1] dadurch realisiert, daB jedem Be- 

15 nutzer eines Systems eine Zugriff sberecht igungsdatei zugeord- 
net wird. Versucht ein ProzeB, auf ein Programm zuzugreifen, 
so wird uberpruft, ob der Benutzer, der den ProzeB gestartet 
hat, das Recht hat, auf das entsprechende Programm zuzugrei- 
fen. Der Zugriff wird nur gestattet, wenn der ProzeB von ei- 

20 nem befugten und somit mit den Zugriff srechten ausgestatteten 
Benutzer gestartet wurde. 

Aus [2] ist ein sogenannter Virenscanner bekannt. Ein Viren- 
scanner uberpruft die gespeicherte, bekannte Folge von Daten, 
25 durch die das Programm realisiert ist. Wird eine Abweichung 
gegeniiber der bekannten Folge f estgestellt , so wird ein Be- 
nutzer des Systems benachrichtigt , daB moglicherweise das Sy- 
stem mit einem Virus behaftet ist. 

30 Aus [1] ist ferner ein Betr iebssystem fur einen Rechner be- 
kannt. Das aus [1] bekannte Betriebssystem weist verschiedene 
Sicherheitslucken auf, durch die es einem Angreifer moglich 
ist, die Integritat von Programmen, die unter Verwendung des 
Betriebssystems durchgefiihrt werden, zu gefahrden. 

35 
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Ein moglicher Mechanismus, um den Schutz der Programme bei 
Verwendung dieses Betriebssystems zu gefahrden ist ebenfalls 
in [5] beschrieben. 

5 In [7] ist ein Computersystem zur Lizensierung von Software 
beschrieben* 

Somit liegt der Erfindung das Problem zugrunde, mehrere Pro- 
gramme und/oder mehrere Dateien vor einem unbefugten Zugriff 
10 durch einen ProzeJi zu schiitzen unter Verwendung eines Be- 
triebssystems, welches grundsatzlich Sicherheitslucken auf- 
weist. 

Das Problem wird durch das Verfahren sowie durch die Anord- 
15 nung gemaJi den Merkmalen der unabhangigen Patentanspruche ge- 
lost . 

Bei einem Verfahren zum Schutz mehrerer Programme und/oder 
mehrerer Dateien vor einem unbefugten Zugriff durch einen 

20 ProzeJi, ist jedem zu schutzenden Programm und/oder jeder zu 
schutzenden Datei jeweils ein AdreJiraum zugeordnet . Jedem zu 
schutzenden Programm und/oder jeder zu schutzenden Datei ist 
ferner jeweils eine ProzeJi-Datei zugeordnet, wobei in einer 
ProzeJi-Datei gespeichert ist, welcher ProzeJi oder welche Pro- 

25 zesse in dem jeweiligen AdreJiraum ablaufen darf oder durfen. 
Wahrend des Ablaufs eines zu schutzenden Programms und/oder 
einer zu schutzenden Datei fur einen ProzeJi, der auf den 
AdreJiraum des zu schutzenden Programms und/oder der zu schut- 
zenden Datei zugreifen will wird uberpruft, ob der zugreifen- 

30 de Prozefi in der entsprechenden ProzeJi-Datei angegeben ist. 
Fur den Fall, daft der zugreifende ProzeJi in der ProzeJ3-Datei 
angegeben ist, wird der zugreifende ProzeJi gestartet; sonst 
wird der zugreifende Prozeii nicht gestartet. 

35 Bei einem weiteren Verfahren zum Schutz mehrerer Programme 

und/oder mehrerer Dateien vor einem unbefugten Zugriff durch 
einen ProzeJi, ist jedem zu schutzenden Programm und/oder je- 
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der zu schutzenden Datei jeweils ein Adreiiraum zugeordnet. 
Jedem zu schutzenden Programm und/oder jeder zu schutzenden 
Datei ist ferner jeweils eine Prozeii-Datei zugeordnet, wobei 
in einer Prozeii-Datei gespeichert ist, welcher Prozeii oder 
5 welche Prozesse in dem jeweiligen Adreiiraum ablaufen darf 
oder diirfen. Wahrend des Ablaufs eines zu schutzenden Pro- 
gramms und/oder einer zu schutzenden Datei fur einen Prozeii, 
der auf den Adreiiraum des zu schutzenden Programms und/oder 
einer zu schutzenden Datei zugreifen will wird uberpruft, ob 
10 der zugreifende Prozeii in der entsprechenden Prozeii-Datei an- 
gegeben ist. Fur den Fall, daii der zugreifende ProzeB in der 
Prozeii-Datei angegeben ist, wird der zugreifende Prozeii wei- 
tergeflihrt; sonst wird der zugreifende Prozeii beendet. 

15 Eine Anordnung zum Schutz mehrerer Programine vor einem unbe- 
fugten Zugriff durch einen Prozeii, weist einen Prozessor auf, 
der derart eingerichtet ist, daii folgende Schritte durchfiihr- 
bar sind: 

- jedem zu schutzenden Programm und/oder jeder zu schutzenden 
20 Datei ist jeweils ein Adreiiraum zugeordnet, 

- jedem zu schutzenden Programm und/oder jeder zu schutzenden 
Datei ist jeweils eine Prozeii-Datei zugeordnet, 

- in einer Prozeii-Datei ist gespeichert, welcher Prozeii oder 
welche Prozesse in dem jeweiligen Adreiiraum ablaufen darf 

25 oder diirfen, 

- wahrend des Ablaufs eines zu schutzenden Programms und/oder 
einer zu schutzenden Datei wird fur einen Prozeii, der auf den 
Adreiiraum des zu schutzenden Programms und/oder der zu schut- 
zenden Datei zugreifen will, uberpruft, ob der zugreifende 

30 Prozeii in der entsprechenden Prozeii-Datei angegeben ist, 

- fur den Fall, daii der zugreifende Prozeii in der Prozeii- 
Datei angegeben ist, wird der zugreifende Prozeii gestartet, 
und 

- sonst wird der zugreifende Prozeii nicht gestartet. 

35 

Eine weitere Anordnung zum Schutz mehrerer Programme vor ei- 
nem unbefugten Zugriff durch einen Prozeii, weist einen Pro- 
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zessor auf, der derart eingerichtet ist, dafi folgende Schrit- 
te durchfuhrbar sind: 

- jedem zu schutzenden Programm und/oder jeder zu schiitzenden 
Datei ist jeweils ein Adrefiraum zugeordnet, 

5 - jedem zu schutzenden Programm und/oder jeder zu schutzenden 
Datei ist jeweils eine Prozefi-Datei zugeordnet, 

- in einer Prozefi-Datei ist gespeichert, welcher Prozefi oder 
welche Prozesse in dem jeweiligen Adrefiraum ablaufen darf 
oder diirfen, 

10 - wahrend des Ablaufs eines zu schutzenden Programms und/oder 
einer zu schiitzenden Datei wird fur einen Prozefi, der auf den 
Adrefiraum des zu schutzenden Programms und/oder der zu schut- 
zenden Datei zugreifen will uberpruft, ob der zugreifende 
Prozefi in der entsprechenden Prozefi-Datei angegeben ist, 

15 - fur den Fall, dafi der zugreifende Prozefi in der Prozefi- 
Datei angegeben ist, wird der zugreifende Prozefi weiterge- 
fiihrt, und 

- sonst wird der zugreifende Prozefi beendet ♦ 

20 Ein Satz mehrerer Anordnungen und eine mit jeder Anordnung 
des Satzes mehrerer Anordnungen verbundene Server-Anordnung 
zum Schutz mehrerer Programme vor einem unbefugten Zugriff 
durch einen Prozefi ist derart eingerichtet, dafi 
jede Anordnung einen Prozessor aufweist, der derart einge- 

25 richtet ist, dafi folgende Schritte durchfuhrbar sind: 

- jedem zu schutzenden Programm und/oder jeder zu schutzenden 
Datei ist jeweils ein Adrefiraum zugeordnet, 

- jedem zu schiitzenden Programm und/oder jeder zu schutzenden 
Datei ist jeweils eine Prozefi-Datei zugeordnet, 

30 - in einer Prozefi-Datei ist gespeichert, welcher Prozefi oder 
welche Prozesse in dem jeweiligen Adrefiraum ablaufen darf 
oder diirf en, 

- wahrend des Ablaufs eines zu schiitzenden Programms und/oder 
einer zu schiitzenden Datei wird fur einen Prozefi, der auf den 

35 Adrefiraum des zu schiitzenden Programms und/oder der zu schut- 
zenden Datei zugreifen will uberpruft, ob der zugreifende 
Prozefi in der entsprechenden Prozefi-Datei angegeben ist, 
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- fur den Fall, dafi der zugreifende Prozefi in der Prozeft- 
Datei angegeben ist, wird der zugreifende Proze/i gestartet 
oder weitergef tihrt , und 

- sonst wird ein Alarmsignal generiert und an die Server- 
Anordnung gesendet,- ■ 

und die Server-Anordnung einen Prozessor aufweist, der derart 
eingerichtet ist, dafi abhangig von mindestens einem empfange- 
nen Alarmsignal eine vorgegebene Aktion ausgelost wird. 

Unter Adrefiraum ist in diesem Zusammenhang ein Programm- 
Bereich zu verstehen, der jeweils einem Programm zugeordnet 
ist . 

Durch die Erfindung werden mehrere Sicherhei tslucken des in 
[1] beschriebenen Betriebssystems geschlossen. 

Weiterhin wird das jeweils zu schutzende Programm gegen einen 
prozeduralen Angriff (Angriff auf einen Prozefi), z.B. gegen 
ein Trojanisches Pferd, geschutzt. 

Ferner ist ein erheblicher Vorteil der Erfindung darin zu se- 
hen, daft bei skalierbarem Aufwand ein definiertes Mafi an Si- 
cherheit fur das zu schutzende Programm gewahrleistet werden 
kann . 

Durch den Satz mehrerer Anordnungen, die jeweils mit der Ser- 
ver-Anordnung verbunden sind, ist ein Schutz lokal bei den 
Anordnungen moglich derart, daft bei einem erkannten Angriff 
ein Alarmsignal generiert und an die Server-Anordnung gesen- 
det wird, in der zentral eine vorgegebene Aktion ausgefuhrt 
wird. Auf diese Weise ist die Entdeckung lokaler Prozesse 
moglich, die der Server-Anordnung selbst nicht bekannt sind. 

Bevorzugte Weit erbildungen der Erfindung ergeben sich aus den 
abhangigen Anspruchen. 
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Es ist in einer Weiterbildung zur Erhohung des erreichbaren 
Sicherheitsniveaus vorteilhaft, zumindest einem Teil der in 
einer Prozefi-Datei angegebenen Prozesse einen eindeutig kenn- 
zeichnenden kryptographischen Wert zu bilden, wobei der je- 
weilige Wert in der ProzeJi-Datei enthalten ist. Fur den zu- 
greifenden ProzeB wird dessen kryptographischer Wert gebildet 
und bei der Uberprufung werden die kryptographischen Werte 
der Prozesse miteinander verglichen. 

Der kryptographische Wert kann eine digitale Signatur sein. 
Er kann aber auch unter Verwendung einer Hash-Funktion, all- 
gemein einer Einwegf unktion, gebildet werden. 

In einer weiteren Ausgestaltung ist es vorteilhaft, in einem 
Auf rufmechanismus fur eine Funktion eines Betriebssystem- 
kerns, mit dem die Programme ausgeftihrt werden, einen Aufruf 
des zugreifenden Prozesses zu einer Uberpruf ungsf unktion wei- 
terzuleiten, in der die Uberprufung erfolgt. Auf diese Weise 
ist eine effiziente und somit kostenguns tige Realisierung der 
Erfindung moglich. 

Die Uberprufungsfunktion kann als dynamisch bindbare Datei in 
den uberwachten Adrefiraum eingebunden werden, wodurch eine 
weitere Verbesserung in der Schut zwirkung erreicht wird. 

Ein Aufruf eines zugreifenden Prozesses kann auch zu einer 
Uberprufungsfunktion, die in dem Betriebssys temkern inte- 
griert ist, weitergeleitet werden, wobei die Uberprufung in 
der Uberprufungsfunktion erfolgt. Auf diese Weise kann die 
erreichbare Sicherheit des Schutzes fur die Programme noch 
weiter erhoht werden. 

Eine weitere Erhohung des erreichbaren Sicherheitsniveaus 
kann gewahrleistet werden, wenn ein Schutzprogramm, welches 
derart eingerichtet ist, dafi die Erfindung ausfiihrbar ist, 
verschlusselt gespeichert ist und zu Beginn des Verfahrens 
entschlusselt wird. Nach der EntschlUsselung des Schutzpro- 
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gramms kann dessen Integritat uberpruft werden und das Ver- 
fahren wird nur dann ausgefiihrt, wenn die Integritat des 
Schutzprogrammes gewahrleistet ist. Nach der Integri tatsprii- 
fung des Schut zprogramms kann die Integritat aller in den 
ProzeB-Dateien enthaltenen Prozesse uberpruft werden und das 
Verfahren wird nur ausgefiihrt, wenn die Integritat des 
Schutzprogramms gewahrleistet ist. Nach der Integri tatspru- 
fung der Prozesse, kann die Integritat des zu schutzenden 
Programms uberpruft werden und das Programm sollte nur ausge 
fuhrt werden, wenn die Integritat des Schutzprogramms gewahr 
leistet ist. 

Die Erfindung ist vorteilhaft einsetzbar in dem in [1] be- 
schriebenen Bet riebs system. 

Obwohl das im weiteren erlauterte Ausf lihrungsbeispiel den 
Schutz von Programmen beschreibt, so ist ebenfalls ein Schutz 
mehrerer Dateien ohne weiteres gemaB der gleichen Vorgehens- 
weise moglich. 

Ein Ausf uhrungsbeispiel der Erfindung ist in den Figuren dar- 
gesellt und wird im weiteren naher erlautert. 

Es zeigen 

Figur 1 eine Skizze, in der das der Erfindung zugrundeliegen- 
de Prinzip symbolisch dargestellt ist, 

Figur 2 eine Skizze, in der ein Prozeiischichtenmodell darge- 
stellt ist; 

Figur 3 ein Blockdiagramm, in dem ein Rechnernetz dargestellt 
ist ; 

Figur 4 ein Ablauf diagramm, in dem die einzelnen Verfahrens- 
schritte des Ausf iihrungsbeispiels dargestellt sind; 
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Figur 5 eine Skizze, in der das Prinzip einer moglichen Inte- 
gration der Erfindung in einem Betriebssystem darge- 
stellt ist; 

Figur 6 eine Skizze, in der die mogliche Realisierung gemaB 
Figur 5 detailliert dargestellt ist; 

Figur 7 eine Skizze, in der eine weitere mogliche Integration 
der Erfindung in ein Betriebssystem dargestellt ist. 

Fig. 3 zeigt einen ersten Rechner 301 mit einer Eingangs-/ 
Ausgangsschnittstelle 302, die uber einen Bus 303 mit einem 
Speicher 304 und einem Prozessor 305 verbunden ist. Uber die 
Eingangs-/Ausgangsschnittstelle 302 ist der erste Rechner 301 
iiber ein Rechnernetz 306 mit einer Vielzahl von Rechnern 307, 
308, 309, 310, 311 verbunden. 

Das zur Ubertragung digitaler Daten verwendete Kommunikati- 
onsprotokoll ist das TCP/IP-Protokoll (Transmission Control 
Protocol/Internet Protocol) . 

Die Erfindung schiitzt den ersten Rechner 301 vor unbefugten 
Zugriffen von Prozessen, die entweder in dem Speicher 304 des 
ersten Rechners 301 gespeichert sind Oder von den weiteren 
Rechnern 307, 308, 309, 310, 311, die auf den ersten Rechner 
301 zugreif en/einwirken . 

In dem ersten Rechner 301 ist das in [1] beschriebene Be- 
triebssystem implementiert . 

Das im weiteren detailliert erlauterte Prinzip, welches dem 
Verfahren bzw. der Anordnung zugrunde liegt, ist anschaulich 
in Fi g * 1 dargestellt. 



Symbolisch dargestellte Programme 101, 102, 103 sollen durch 
die Erfindung gegen unbefugten Zugriff durch mindestens einen 
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Prozeft 104, 105, 106, der oder die auf ein Programm 101, 102, 
103 zugreifen wollen, geschlitzt werden. 

Die Programme 101, 102, 103 und Prozesse 104, 105, 106 ver- 
5 wenden als Betr iebssystem, dargestellt als eine die Programme 
101, 102, 103 und Prozesse 104, 105, 106 umrahmende Einheit 
107 das in [1] beschriebene Betriebssystem. 

Durch das Verfahren bzw. durch die Anordnung wird anschaulich 
10 urn jedes zu schiitzende Programm 101, 102, 103 eine programm- 
spezifische „Schutzhulle" 108, 109, 110 gebildet. Durch die 
programmspezif ische Sicherung wird ein frei skalierbares Si- 
cherheitsniveau fiir das zu schiitzende Programm 101, 102, 103 
erreicht . 

15 

Das Verfahren bzw. die Anordnung kann, wie in einem Prozefi- 
schichtenmodell 201 in Fig. 2 dargestellt, auf verschiedenen 
logischen Ebenen zu schiitzender Programme 101, 102, 103 rea- 
lisiert werden. Fig . 2 zeigt drei logische Ebenen in dem Pro- 
20 zeiischichtenmodell 201. 

Die Sicherung vor einem Angreifer 205 kann auf der Ebene zu 
schiitzender Anwendungsprogramme 202, auf der Ebene zu schiit- 
zender Betriebssystemprogramme 203 sowie auf der Ebene des 
25 Betriebssystemkerns, und auf der System-Hardware 207 erfol- 
gen . 

Je naher an der System-Hardware 207 die Sicherung eines Pro- 
gramms erfolgt, desto grofier ist das Sicherheitsniveau, das 
30 durch die Erfindung erreicht wird. 

Die Schutzhulle 206 wird zur Laufzeit des zu schlitzenden Pro- 
gramms 101, 102, 103 urn das Programm „gelegt" . 

35 Das Verfahren wird in Form zyklischer, nebenlauf iger Prozesse 
realisiert. Das Verfahren wird anhand des Ablauf diagramms, 
das in Fig. 4 dargestellt ist, erlautert. 
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Als erstes nach dem Start des Betriebssystems (Schritt 401) 
wird ein Schut zprogramm gestartet (Schritt 402). Das Schutz- 
programm ist derart eingerichtet , dali das im weiteren be- 
5 schriebene Verfahren ausflihrbar ist. Das Schut zprogramm ist 
in verschlusselter Form gespeichert, wodurch eine Veranderung 
des Schutzprograitims selbst nicht moglich ist. 

Auch wird durch die Verschltisselung des Schut zprogramms eine 
10 detaillierte Analyse des das Verfahren ausfilhrenden Programms 
verhindert . 

Zum Start des Schut zprogramms (Schritt 402) wird das Schutz- 
programm durch eine vorgegebene Startroutine, die den zur 
15 Entschliisselung des Schutzprogramms erf orderlichen Schliissel 
und eventuell weitere Grundf unktionen des Betriebssystems 
enthalt, entschliisselt , wodurch der eigentliche Programmcode 
des Schutzprogramms ermittelt wird, 

20 Auf diese Weise ist das Schut zprogramm im aktiven Zustand vor 
off-line Angriffen wie disassemblieren, debuggen, patchen, 
. . . , geschutzt . 

Nach der Entschliisselung (Schritt 402) des Schutzprogramms 
25 wird die Integritat des Schutzprogramms dynamisch uberprtift 
(Schritt 403) . 

Ist die Integritat des Schutzprogramms nicht gewahrleistet, 
so wird das Verfahren abgebrochen (Schritt 404). 

30 

In einem weiteren Schritt wird die Integritat der Prozesse 
des Betriebssystems dynamisch uberprtift (Schritt 405) . Bei 
negativer Integritatspriif ung wird das Verfahren wiederum ab- 
gebrochen (Schritt 404). 

35 

Ist die Integritat der Prozesse des Betriebssystems 405 ge- 
wahrleistet, so wird das zu schiitzende Programm gestartet. 
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Das oben beschriebene Verfahren wird fur jedes zu schutzende 
Programm 101, 102, 103, dynamisch durchgef uhrt . 

5 Jedem zu schlitzenden Progamm 101, 102, 103 ist jeweils eine 
Prozefidatei 111, 112, 113 zugeordnet. 

In einer Prozeftdatei 111, 112, 113 ist fiir das zu schutzende 
Programm 101, 102, 103, dem die ProzeJi-Datei 111, 112, 113 
10 zugeordnet ist, angegeben, welche Prozesse in einem Adrefi- 
raum, der ebenfalls jedem Programm 101, 102, 103 eindeutig 
zugeordnet ist, ablaufen diirfen. In den Prozefi-Dateien sind 
die Angaben mittels einer den jeweiligen Prozefl eindeutig 
kennzeichnenden Hash-Funktion gespeichert. 

15 

Nach Start des jeweiligen Programms 101, 102, 103 (Schritt 
407) wird die Integritat des Programms 101, 102, 103 selbst 
iiberpruft (Schritt 408) . 

20 Bei negativer Integri tatspruf ung wird wiederum das Verfahren 
abgebrochen (Schritt 404) . 

Bei positiver Integri tatspruf ung, d.h. wenn die Integritat 
des Programms 101, 102, 103 gewahrleistet ist, wird das Ver- 
25 fahren fiir das zu schutzende Programm 101, 102, 103 solange 
wiederholt, bis das zu schutzende Programm selbst beendet 
wird (Schritt 409) . 

Das Verfahren wird abhangig von einem vorgebbaren Ereignis 
30 oder in einem vorgebbaren Zeitabstand zwischen zwei Ausfuh- 
rungen des Verfahrens iteriert (Schritt 410). 

Sobald ein Prozefi 104, 105, 106 auf den Adrefiraum bzw. das 
Programm 101, 102, 103 selbst zugrei-fen will, wird in einem 
35 weiteren Schritt (Schritt 411) uberpruft, ob der Prozefi 104, 
105, 106 in der Prozeii-Datei des zu schlitzenden Programms 
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101, 102, 103, auf das der ProzeB 104, 105, 106 zugreifen 
will, enthalten ist oder nicht. 

Dies erfolgt durch Bildung eines Hash-Wertes liber den zugrei- 
5 fenden Prozeft 104, 105, 106 und Vergleich des Hash-Wertes des 
zugreif enden Prozesses 104, 105, 106 mit den Hash-Werten, die 
in der Prozeft-Datei gespeichert sind. Ist der zugreifende 
Prozefl in der ProzeI3-Datei des zu schiitzenden Programms 101, 

102, 103 angegeben, so wird der Prozeii 104, 105, 106 durchge- 
10 fuhrt (Schritt 412). 

Sonst wird der Prozefi 104, 105, 106. nicht gestartet (Schritt 
413) und der Benutzer wird uber einen moglichen Angriff auf 
sein Programm 101, 102, 103 informiert. 

15 

In vorgebbaren Zeitabstanden oder ereignisgesteuert wird fur 
jeden in dem AdreBraum eines Programms 101, 102, 103 aktiven 
Prozeli, d.h. ablaufenden ProzeB, uberpriift, ob der jeweilige 
Prozeft in der Prozeii-Datei des entsprechenden Programms 101, 
20 102, 103, dessen AdreBraum untersucht wird, enthalten ist, 

Ist dies nicht der Fall, so wird der ent sprechende Prozefl be- 
endet und der Benutzer wird auf einen moglichen Angriff auf 
sein Programm 101, 102, 103 hingewiesen. 

25 Auf diese Weise ist eine regelmaliige Uberwachung des Pro- 
gramms gewahrleistet . 

Im weiteren werden Moglichkeiten zur Integration des oben be- 
schriebenen Verfahrens in das in [3] beschriebene Betriebssy- 
30 stem dargestellt: 

1. Moglichkeit: 

Integration einer dynamisch bindbaren Datei 501 in die Anwen- 
35 dungs-Programmier-Schnittstelle (Application Programming In- 
terface, API) (vgl. Fig, 5 ) . 
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Die dynamisch bindbare Datei 501 wird im Adrefiraum des poten- 
tiellen Angreif er-Programms 502 aktiv. Unter Verwendung der 
dynamisch bindbaren Datei 501 werden folgende Schritte in dem 
Adreliraum des potentiellen Angreif er-Programms 502 ausge- 
5 fuhrt: 

• Von der dynamisch bindbaren Datei 501 werden alle Kenn- 
zeichnungen (Modulhandel ) von jeder weiteren dynamisch 
bindbaren Datei ermittelt, die zu uberwachende Schnittstel- 
len-Aufrufe enthalt. Damit konnen alle Zugriffe auf alle zu 

10 iiberwachenden dynamisch bindbaren Dateien ermoglicht wer- 
den . 

Als fur Angriffe relevant werden alle Schnittstellen- 
Aufrufe zum direkten oder indirekten Starten, Beenden und 
Kontrollieren von Prozessen, z.B. schreibende Zugriffe auf 

15 den ProzefJspeicher , Anderungen der Zugrif f srechte, prinzi- 
piell alle Schnittstellen-Bef ehle, die mit fremden Prozeft- 
markierungen (Prozefihandles ) arbeiten, alle Befehle zum 
Realisieren von Message Hooks (eine programmierbare Filter- 
funktion fur Nachrichten zur GUI-Inter kommunikation (Graph- 

20 ic User Interface) und zur Prozeliinter kommunikation) , und 

fur Debugging-Zwecke betrachtet. 

Unter dem Ausdruck „indirektes Starten" werden auch Mecha- 
nismen eines Compilers zur Selbstmodif ikation von Pro- 
grammcode, OLE (Object Link Embedding) und RPC-Mechanismen 

25 (Remote Procedure Call) sowie Zugriffe aus anderen Be- 

triebssystem-Programmier-Schnittstellen verstanden . Ferner 
umfaiit dieser Ausdruck auch die Kontrolle der Mechanismen, 
die fur den Ablauf dynamisch bindbarer Dateien 501 (Acti- 
veX-Befehle usw.) eingesetzt werden. 

30 • Ferner werden der dynamischen bindbaren Datei 501 Schrei- 
brechte fur den AdreBraum zugeordnet. 

• Anstelle des Original-Schnittstellen-Auf ruf s wird ein 
Sprung-Bef ehl gespeichert und die ersetzten Befehle des 
Original-Codes 503 werden gesichert. 

35 

Versucht nun ein Prozefi 504 liber einen Schni ttstellenauf ruf 
APIFktCall() auf das zu schutzende Programm 502 zuzugreifen 
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bzw. ein bisher inaktives Programm zu starten, so wird durch 
die dynamisch bindbare Datei 501 das Schut zprogramm 506 auf- 
gerufen. Als Obergabeparameter fur das Schut zprogramm 506 
wird dem Schutzprogramm 506 angegeben, welches Programm 502 
durch den zugreifenden Prozefi 504 aufgerufen werden soil. 

Durch einen Vergleich mit in der Prozefi-Datei des jeweiligen 
Programms 502 angegebenen zugelassenen Schnittstellen- 
Aufrufen wird dann gemafi dem oben beschriebenen Verfahren 
entschieden, ob der Schnittstellen-Auf ruf 505 zugelassen wird 
oder nicht. 

Der zugreifende Prozefi 504 wird dann entweder ausgefuhrt oder 
„abgeblockt M . Wird in dem Schutzprogramm 506 entschieden, daft 
der zugreifende Prozefi 504 ausgefuhrt werden soil, so wird 
der Original-Code des Schnittstellen-Auf ruf s 503 ausgefuhrt 
und nach dessen Ausfuhrung wird ein Return-Code 507 an den 
zugreifenden Prozefi 504 zuriickgegeben . Sonst wird eine Feh- 
lermeldung 508 an den zugreifenden Prozefi 504 gemeldet. 

Das oben beschriebene Verfahren verwendet den grundsatzlichen 
Mechanismus der sogenannten DLL- In j ektion, die aus [5] be- 
kannt ist. 

2. Moglichkeit: 

Fig. 6 zeigt das in Fig. 5 beschriebene Prinzip in verfeinerter 
Realisierung. Diese Variante eignet sich insbesondere fur den 
Fall, dafi sich f alschlicherweise ein als „sicher xs deklarier- 
ter Prozefi in dem Adrefiraum befindet, der die dynamisch bind- 
bare Datei 601 selbst angreift. 

Durch das im folgenden beschriebene Verfahren wird gewahrlei- 
stet, dafi ein Zugriff auf vorgegebene Daten nur aus der dyna- 
misch bindbaren Datei 601 selbst heraus moglich ist und Zu- 
griffe aus einem anderen Bef ehlsf olgesegment , insbesondere 
einer angreifenden Applikation, verhindert wird. 
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Das im folgenclen dargestellte Verfahren wird vorzugsweise mit 
statischer Modifikation des oben beschriebenen Verfahrens 
realisiert . 

5 

Fur das im weiteren beschriebene Verfahren werden folgende 
Annahmen getrof f en : 

• Zu schtitzende Daten werden in einem geschiitzten Bereich 602 
gespeichert, die bei der Initialisierung der dynamisch 

10 bindbaren Datei 601 angelegt und beschrieben wird und an- 
schlieflend ein Schutzattribut erhalt, so daii auf den ge- 
schiitzten Bereich 602 nur durch die dynamisch bindbare Da- 
tei 601 selbst zugegriffen werden kann. 

• Alle Bereiche, die ausfuhrbaren Code enthalten, erhalten 

15 das Schutzattribut „page_execute xx , wodurch verhindert wird, 

dafl der en t spr echende ausflihrbare Code nicht verandert wer— 
den kann, ohne daft das Schutzattribut zuvor geandert wird. 

• Jede Schnittstellen-Funktion 603 wird auf folgende Weise 
gesichert: Eine Einsprungsadresse fur die Schnittstellen- 

20 Funktion 603 wird durch eine modifizierte Einsprungsadres- 

se, die zu einer modif izierten Schnittstellen-Funktion 604 
fiihrt, ersetzt. 

In der modif izierten Schnittstellen-Funktion wird verzweigt 
zu einem Schni ttstellen-Prozeft 605, der in der dynamisch 

25 bindbaren Datei 601 enthalten ist. Dieser Schni ttstellen- 
Prozeft verzweigt zu dem Schut zprogramm 606, durch das fur 
einen aufrufenden Prozeft 607, der mit einem Schnittstellen- 
aufruf 608 versucht, auf die Schnittstellenf unktion 603 zu- 
zugreifen, uberpriift, ob dieser Aufruf fur den zugreifenden 

30 ProzeJi 607 zugelassen ist. 

Ist dies der Fall, so wird die Schni ttstellenf unktion 603 
ausgefiihrt und es wird nach Durchflihrung der Schnittstel- 
lenfunktion 603 wiederum in die modifizierte Schnittstel- 
lenfunktion 604 verzweigt, was durch einen Pfeil 609 symbo- 

35 lisiert ist. Nach Ausfuhrung weiterer vorgebbarer Befehle 

wird in eine Schni ttstellen-Ruckkehr-Funktion 610 ver- 
zweigt, was durch einen Pfeil 611 angedeutet ist. Dies er- 
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folgt durch einen Sprungbef ehl . In der Schnittstellen- 
Ruckkehr-Funktion 610 wird noch einmal uberpruft (Schritt 
612), ob der Schnittstellen-Auf ruf 608 zugelassen ist. 
Wenn dies nicht der Fall ist, wird eine Fehlermeldung 613 
5 an den Prozeft 607 gesendet. Dies erfolgt ebenso, wenn in 

der Schnittstellen-Funktion 605 unter Verwendung des oben 
beschriebenen Verfahrens ermittelt wurde, dafi der Schnitt- 
stellen-Auf ruf nicht zugelassen ist. 

Wird jedoch auch in dem Oberpriif ungsschritt 612 in der 
10 Schnittstellen-Rtickkehr-Funktion 610 ermittelt, dali der 

Schnittstellen-Auf ruf zugelassen ist, so wird das Ergebnis 
der aufgerufenen Schnittstellen-Funktion an den zugreifen- 
den Prozefi 607 gesendet (Schritt 614) . 

15 3. Moglichkeit: 

Die Erfindung kann auch in dem Betriebssys temkern integriert 
werden. Durch diese Ausf uhrungsf orm wird erreicht, daI3 ein 
Kontrollmechanismus integrierbar ist, dessen Umgehung unter 
20 Benutzer zugrif f srechten nicht mehr moglich ist, sondern nur 
unter den Zugrif f srechten des Systemadministrators . Damit 
wird das erreichbare Sicherheitsniveau erheblich gesteigert. 

Ein hierzu verwendbarer Integrationsmechanismus ist in [4] 
25 beschrieben. Bei diesem Mechanismus werden Schnittstellen- 
Aufrufe beim Ubertritt in den Modus des Betriebssystemkerns 
(Kernel-Modus) im Betr iebssystemkern selbst " abgef angen" . Der 
Verwaltungsmechanismus fur die Unterbrechnungs-Routine ist in 
diesem Fall im Betr iebssystemkern realisiert und ist daher 
30 gegen Zugriffe von Prozessen, die im Benutzermodus aktiv 

sind, geschiitzt. Eine Obersicht verschiedener solcher mogli- 
chen alternativen Implementierungsmoglichkeiten ist in [A] zu 
f inden . 

35 Fig . 7 zeigt in einer Obersicht zwei oben beschriebene Mog- 
lichkeiten zur Realisierung . 
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Ein Anwendungsprogramm 701 ( Applikation) verwendet zum Pro- 
grammablauf Funktionen des Betriebssystems. 

Die Funktionen des Betriebssystems sind gruppiert in Funktio- 
5 nen 702 des Betriebssystems in einem Benut zermodus (User- 
Mode) und in Funktionen 703 des Kernel-Modus. Die Funktionen 
sind symbolisch jeweils als Blocke dargestellt. 

Durch dynamisch bindbare Dateien (*.dll) ist es moglich, das 
10 Verfahren im Rahmen des Benut zermodus zu integrieren, was 

durch einen ersten Block 704 unter Verwendung einer dynamisch 
bindbaren Datei "NTDLL.DLL" 705 des in [1] beschriebenen Be- 
triebssystems erfolgen kann . 

Die weitere Integrationsmoglichkeit des Verfahrens in den Be- 
triebssystemkern ist durch einen zweiten Block 706 angedeu- 
tet, wobei bei dieser Integrationsvariante der Mechanismus 
beim Ubergang des Benut zermodus in den Kernel-Modus inte- ; 
griert wird. 

Im weiteren werden einige Alternativen zu den oben erlauter- 
ten Ausf uhrungsbeispielen dargestellt: 

Der Schutz des Schutzprogramms kann dadurch erhoht werden, 
25 daft die Startroutine im Betriebssystemkern integriert ist, 
z.B. als sogenannter Kernel-Modus-Prozeii oder auch System 
Service . 

Die dynamisch bindbare Datei kann auch sowohl statisch als 
30 auch dynamisch, d.h. lediglich wahrend der Laufzeit des zu 

schutzenden Programms 502 oder wahrend der gesamten Laufzeit 
des Betriebssystems vorgesehen sein. 

Auch konnen alternativ Sof tware-Unterbrechungs-Routinen als 
35 Alternative zu der dynamisch bindbaren Datei verwendet wer- 
den. 



15 
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Die Erfindung kann sowohl durch Software als auch durch Hard- 
ware oder zum Teil durch Software und zum Teil durch Hardware 
realisiert werden . 

5 Ferner kann, wie in Fig. 4 dargestellt, bei negativer Integri- 
tatsprufung (Schritt 408) in einem weiteren Oberpriif ungs- 
schritt (Schritt 414) uberpriift werden, ob ein Nachladen des 
originalen Schutzprogramms und/oder eines zu schiitzenden Pro- 
gramms von einer vertrauenswiirdigen Instanz moglich ist, oder 
10 ob eine Wiederherstellung des Schutzprogramms und/oder des zu 
schiitzenden Programms moglich ist, derart, daB dessen/deren 
Integritat gewahrleistet ist. 

Ist dies nicht moglich, so wird das Verfahren abgebrochen 
15 (Schritt 404) . 

Ist dies jedoch moglich, so wird die Integritat des neu gela- 
denen bzw. wiederhergestell ten Schutzprogramms weiter dyna- 
misch uberpriift (Schritt 403) . 

20 

In einer weiteren Variante ist es vorgesehen, daB die Rechner 
mit einem Server, in Fig . 1 der erste Rechner, verbunden sind. 

In jedem Rechner wird das oben beschriebene Verfahren zum 
25 Schutz eines Programms und/oder einer Datei durchgef iihrt . 

Fur den Fall, daB der zugreifende Prozefi in der ProzeB-Datei 
nicht angegeben ist, wird ein Alarmsignal generiert und an 
den Server gesendet . In dem Server wird abhangig von minde- 
30 stens einem empfangenen Alarmsignal eine vorgegebene Aktion 
ausgelost wird, beispielsweise ein zentral gesteuerter Ab- 
bruch eines Prozesses. 
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Patentansprtiche 

1. Verfahren zum Schutz mehrerer Programme und/oder mehrerer 
Dateien vor einem • unbef ugten Zugriff durch einen Prozeii, 

5 - bei dem jedem zu schiitzenden Programm und/oder jeder zu 
schutzenden Datei jeweils ein AdreUraum zugeordnet ist, 

- bei dem jedem zu schiitzenden Programm und/oder jeder zu 
schiitzenden Datei jeweils eine Prozell-Datei zugeordnet ist, 

- bei dem in einer Prozell-Datei gespeichert ist, welcher Pro- 
10 zeil oder welche Prozesse in dem jeweiligen Adrefiraum ablaufen 

darf oder diirfen, 

- bei dem wahrend des Ablaufs eines zu schutzenden Programms 
und/oder einer zu schutzenden Datei fur einen Prozeii, der auf 
den Adreilraum des zu schiitzenden Programms und/oder der zu 

15 schutzenden Datei zugreifen will iiberpriift wird, ob der zu- 

greifende Prozeii in der entsprechenden Prozeil-Datei angegeben 
ist, 

- bei dem fur den Fall, daft der zugreifende Prozeii in der 
Prozeil-Datei angegeben ist, der zugreifende Prozeii gestartet 

20 wird, und 

- sonst der zugreifende Prozeii nicht gestartet wird. 

2. Verfahren zum Schutz mehrerer Programme und/oder mehrerer 
Dateien vor einem unbefugten Zugriff durch einen Prozeii, 

25 - bei dem jedem zu schiitzenden Programm und/oder jeder zu 
schiitzenden Datei jeweils ein Adreilraum zugeordnet ist, 

- bei dem jedem zu schiitzenden Programm und/oder jeder zu 
schiitzenden Datei jeweils eine Prozeil-Datei zugeordnet ist, 

- bei dem in einer Prozeil-Datei gespeichert ist, welcher Pro- 
30 zeil oder welche Prozesse in dem jeweiligen Adreilraum ablaufen 

darf oder diirfen, 

- bei dem wahrend des Ablaufs eines zu schutzenden Programms 
und/oder einer zu schiitzenden Datei fur einen Prozeii, der auf 
den Adrefiraum des zu schutzenden Programms und/oder einer zu 

35 schutzenden Datei zugreifen will iiberpriift wird, ob der zu- 
greifende Prozeii in der entsprechenden Prozeil-Datei angegeben 
ist, 
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- bei dem fur den Fall, daft der zugreifende Prozeft in der 
Prozeft-Datei angegeben ist, der zugreifende Prozeft weiterge- 
ftthrt wird, und 

- sonst der zugreifende Prozeft beendet wird. 

5 

3. Verfahren nach Anspruch 1 oder 2, 

- bei dem fur zumindest einen Teil der in einer Prozeft-Datei 
angegebenen Prozesse ein den Prozeft eindeutig kennzeichnender 
kryptographischer Wert gebildet wird, 

10 - bei dem in der Prozeft-Datei jeweils der kryptographische 
Wert eines Prozesses enthalten ist, 

- bei dem fur den zugreifenden Prozeft dessen kryptographi- 
scher Wert gebildet wird, und 

- bei dem bei der Uberpriifung die kryptographischen Werte der 
15 Prozesse mi teinander verglichen werden. 

4. Verfahren nach einem der Anspriiche 1 bis 3, 

bei dem in einem Auf ruf mechanismus flir eine Funktion eines 
Betriebssystemkerns , mit dem die Programme ausgefuhrt werden, 
20 ein Aufruf des zugreifenden Prozesses einer Oberpruf ungsf unk- 
tion zugeleitet wird, in der die Uberpriifung erfolgt. 

5. Verfahren nach Anspruch 4, 

bei dem die Uberpriif ungsf unktion als dynamisch bindbare Datei 
25 in den Adreftraum eingebunden wird. 

6. Verfahren nach einem der Anspriiche 1 bis 3, 

- bei dem ein Aufruf des zugreifenden Prozesses einer Uber- 
prlif ungsfunktion zugeleitet wird, in der die Uberpriifung er- 

30 folgt, und 

- bei dem die Uberpruf ungsf unktion in einen Betr iebssystem- 
kern eines Betriebssystems , mit dem die Programme ausgefuhrt 
werden, integriert ist. 



35 



7. Verfahren nach einem der Anspriiche 1 bis 6, 
bei dem das Betriebssystem Windows NT ist. 
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8. Verfahren nach einem der Anspruche 1 bis 7, 
bei dem in einem vorgebbaren Zeitabstand fur jeden aktiven 
Prozeli, der zusairimen rait einem zu schutzenden Programm 
und/oder einer zu schutzenden Datei ablauft, uberpruft wird, 
5 ob der aktive Prozeli in der Prozeli-Datei , die dem zu schut- 
zenden Programm und/oder der zu schutzenden Datei zugeordnet 
ist, enthalten ist und der Prozeli beendet wird, falls dies 
nicht der Fall ist. 

10 9. Verfahren nach einem der Anspruche 1 bis 8, 

bei dem abhangig von einem vorgebbaren Ereignis fur jeden ak- 
tiven Prozeli, der zusammen mit einem zu schutzenden Programm 
und/oder einer zu schutzenden Datei ablauft, uberpruft wird, 
ob der aktive Prozeli in der Prozeli-Datei, die dem zu schut- 

15 zenden Programm zugeordnet ist, enthalten ist und der Prozeli 
beendet wird, falls dies nicht der Fall ist* 

10. Verfahren nach einem der Anspruche 1 bis 9, 

bei dem ein Schut zprogramm, welches derart eingerichtet ist, 
20 dali das Verfahren ausfiihrbar ist, ver schliisselt gespeichert 
ist und zu Beginn des Verfahrens entschlusselt wird 

11. Verfahren nach einem der Anspruche 1 bis 10, 

bei dem die zu schutzenden Programme und/oder die zu schiit- 
25 zenden Dateien, verschliisselt gespeichert sind und zu Beginn 
des Verfahrens entschlusselt werden. 

12. Verfahren nach Anspruch 10, 

bei dem nach der Entschliisselung des Schut zprogramms dessen 
30 Integritat uberpruft wird und das Verfahren nur ausgefuhrt 
wird, wenn die Integritat des Schutzprogramms gewahrleistet 
ist . 

13. Verfahren nach Anspruch 12, 

35 bei dem nach der Integritatspruf ung des Schutzprogramms die 
Integritat aller in den Prozeli-Dateien enthaltenen Prozesse 
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uberpriift wird und das Verfahren nur ausgefuhrt wird, wenn 
die Integritat des Schut zprogramms gewahrleistet ist. 

14. Verfahren nach Anspruch 13, 
5 bei dem nach der Integritatspruf ung der Prozesse die Integri- 
tat des zu schutzenden Programms und/oder der zu schutzenden 
Datei uberpriift wird und das Verfahren nur ausgefuhrt wird, 
wenn die Integritat des Schut zprogramms gewahrleistet ist. 

10 15. Verfahren nach Anspruch 13 oder 14, 

bei dem mindestens eine der Integritatspruf ung unter Verwen- 
dung eines kryptographischen Verfahrens erfolgt. 

16. Verfahren nach einem der Anspriiche 3 bis 15, 

15 bei dem der kryptographische Wert durch Anwendung einer Hash- 
Funktion gebildet wird 

17. Anordnung zum Schutz mehrerer Programme vor einem unbe- 
fugten Zugriff durch einen Prozefi, 

20 mit einem Prozessor, der derart eingerichtet ist, daft folgen- 
de Schritte durchfuhrbar sind: 

- jedem zu schutzenden Programm und/oder jeder zu schutzenden 
Datei ist jeweils ein Adrefiraum zugeordnet, 

- jedem zu schutzenden Programm und/oder jeder zu schutzenden 
25 Datei ist jeweils eine Prozefi-Datei zugeordnet, 

- in einer Prozefi-Datei ist gespeichert, welcher Prozeft oder 
welche Prozesse in dem jeweiligen AdreBraum ablaufen darf 
oder dlirfen, 

- wahrend des Ablaufs eines zu schutzenden Programms und/oder 
30 einer zu schutzenden Datei wird fur einen Prozefi, der auf den 

Adreiiraum des zu schutzenden Programms und/oder der zu schut- 
zenden Datei zugreifen will uberpriift, ob der zugreifende 
ProzeB in der entsprechenden Prozeii-Datei angegeben ist, 

- fur den Fall, daJi der zugreifende Prozeil in der Prozefi- 
35 Datei angegeben ist, wird der zugreifende Prozeii gestartet, 

und 

- sonst wird der zugreifende ProzeJi nicht gestartet. 
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18. Anordnung zum Schutz mehrerer Programme vor einem unbe- 
fugten Zugriff durch einen Prozeii, 

rait einem Prozessor, der derart eingerichtet ist, daii folgen- 
5 de Schritte durchfiihrbar sind: 

- jedem zu schiitzenden Programm und/oder j eder zu schutzenden 
Datei ist jeweils ein AdreBraum zugeordnet, 

- jedem zu schiitzenden Programm und/oder jeder zu schiitzenden 
Datei ist jeweils eine Prozeli-Datei zugeordnet, 

10 - in einer Prozeli-Datei ist gespeichert, welcher Prozeii oder 
welche Prozesse in dem jeweiligen Adreliraum ablaufen darf 
oder diirfen, 

- wahrend des Ablaufs eines zu schiitzenden Programms und/oder 
einer zu schiitzenden Datei wird ftir einen Prozeii, der auf den 

15 Adreliraum des zu schutzenden Programms und/oder der zu schiit- 
zenden Datei zugreifen will tiberpriift, ob der zugreifende 
Prozeii in der entsprechenden Prozeli-Datei angegeben ist, 

- fur den Fall, daii der zugreifende Prozeii in der Prozeii- 
Datei angegeben ist, wird der zugreifende Prozeii weiterge- 

20 fiihrt, und 

- sonst wird der zugreifende Prozeii beendet. 

19. Anordnung nach Anspruch 17 oder 18, 

bei der der Prozessor derart eingerichtet ist, daii 
25 - fur zumindest einen Teil der in einer Prozeli-Datei angege- 
benen Prozesse ein den Prozeii eindeutig kennzeichnender kryp- 
tographischer Wert gebildet wird, 

- in der Prozeii-Datei jeweils der kryptographische Wert eines 
Prozesses enthalten ist, 

30 - fur den zugreifenden Prozeii dessen kryptographischer Wert 
gebildet wird, und 

- bei der Oberpriifung die kryptographischen Werte der Prozes- 
se miteinander verglichen werden. 

3 5 20. Anordnung nach einem der Anspruche 17 bis 19, 

bei der der Prozessor derart eingerichtet ist, daii in einem 
Auf rufmechanismus ftir eine Funktion eines Betriebssystem- 
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kerns, mit dem die Programme ausgefiihrt werden, ein Aufruf 
des zugreifenden Prozesses einer Oberpruf ungsf unktion zuge- 
leitet wird, in der die Oberprufung erfolgt. 

5 21. Anordnung nach einem der Anspruche 17 bis 20, 

bei der der Prozessor derart eingerichtet ist, daft das Be- 
triebssystem Windows NT ist. 

22. Satz mehrerer Anordnungen und eine mit jeder Anordnung 
10 des Satzes mehrerer Anordnungen verbundenen Server-Anordnung 
zum Schutz mehrerer Programme vor einem unbefugten Zugriff 
durch einen Prozeft, 

wobei jede Anordnung einen Prozessor aufweist, der derart 
eingerichtet ist, daft folgende Schritte durchfuhrbar sind: 
15 - jedem zu schutzenden Programm und/oder jeder zu schlitzenden 
Datei ist jeweils ein Adreftraum zugeordnet, 

- jedem zu schlitzenden Programm und/oder jeder zu schutzenden 
Datei ist jeweils eine Prozeft-Datei zugeordnet, 

- in einer Prozeft-Datei ist gespeichert, welcher Prozeft oder 
20 welche Prozesse in dem jeweiligen Adreftraum ablaufen darf 

oder diirfen, 

- wahrend des Ablaufs eines zu schutzenden Programms und/oder 
einer zu schutzenden Datei wird fur einen Prozeft, der auf den 
Adreftraum des zu schlitzenden Programms und/oder der zu schut- 

25 zenden Datei zugreifen will uberpriift, ob der zugreifende 
Prozeft in der entsprechenden Prozefl-Datei angegeben ist, 

- ftir den Fall, daft der zugreifende ProzeB in der Prozefl- 
Datei angegeben ist, wird der zugreifende ProzeB gestartet 
oder weitergef tthrt , und 

30 - sonst wird ein Alarmsignal generiert und an die Server- 
Anordnung gesendet , 

und wobei die Server-Anordnung einen Prozessor aufweist, der 
derart eingerichtet ist, dafi abhangig von mindestens einem 
empfangenen Alarmsignal eine vorgegebene Aktion ausgelost 
35 wird. 
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1 . Dieser internationale vorlaufige Prufungsbericht wurde von der mit der Internationale vorlaufigen Prufung beauftragte 
Behorde erstellt und wird dem Anmelder gemaB Artikel 36 ubermittelt. 
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3. Dieser Bericht enthalt Angaben zu folgenden Punkten: 
I Grundlage des Berichts 



Keine Erstellung eines Gutachtens uber Neuheit, erfinderische Tatigkeit und gewerbliche Anwendbarkeit 
Mangelnde Einheitlichkeit der Erfindung 

Begrundete Feststellung nach Artikel 35(2) hinsichtlich der Neuheit, der erfinderische Tatigkeit und der 
gewerbliche Anwendbarkeit; Unterlagen und Erklarungen zur Stutzung dieser Feststellung 

Bestimmte angefuhrte Unterlagen 

Bestimmte Mangel der internationalen Anmeldung 

Bestimmte Bemerkungen zur internationalen Anmeldung 



I! 


□ 


Ill 
IV 


□ 


V 


IS 


VI 


□ 


VII 




VIII 





Datum der Einreichung des Antrags 
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Datum der Fertigstellung dieses Berichts 
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Name und Postanschrift der mit der internationalen vorlaufigen 
Prufung beauftragten Behorde: 

- ^ Europatsches Patentamt 
/wj D-80298 Munchen 

Tel. +49 89 2399 - 0 Tx: 523656 epmu d 
Fax:+49 89 2399-4465 


Bevollmachtigter Bediensteter y^SmH^s. 
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INTERNATIONALER VORLAUFIGER 

PRUFUNGSBERICHT Internationales Aktenzeichen PCT/DE99/0201 3 



I. Grundlage des Berichts 

1 . Dieser Bericht wurde erstellt auf der Grundlage (Ersatzblatter, die dem Anmeldeamt auf eine Aufforderung nach 
Artikef 14 hin vorgelegt warden, gelten im Rahmen dieses Berichts ais "ursprunglich eingereicht" und sind ihm 
nicht beigefugt, weil sie keine Anderungen enthalten.): 

Beschreibung, Seiten: 

1-19 ursprungliche Fassung 

Patentanspruche, Nr.: 

1-20 eingegangen am 29/09/2000 mit Schreiben vom 29/09/2000 

Zeichnungen, Blatter: 

1/6-6/6 ursprungliche Fassung 

2. Aufgrund der Anderungen sind folgende Unterlagen fortgefallen: 

□ Beschreibung, Seiten: 

IS Anspruche, Nr.: 21,22 

□ Zeichnungen, Blatt: 

3. Dieser Bericht ist ohne Berucksichtigung (von einigen) der Anderungen erstellt worden, da diese aus den 
angegebenen Grunden nach Auffassung der Behorde uber den Offenbarungsgehalt in der ursprunglich 
eingereichten Fassung hinausgehen (Regel 70.2(c)): 

siehe Beiblatt 

4. Etwaige zusatzliche Bemerkungen: 

III. Keine Ersteilung eines Gutachtens uber Neuheit, erfinderische Tatigkeit und gewerbliche Anwendbarkeit 

Folgende Teile der Anmeldung wurden nicht daraufhin gepruft, ob die beanspruchte Erfindung als 

neu, auf erfinderischer Tatigkeit beruhend (nicht offensichtlich) und gewerblich anwendbar anzusehen ist: 

□ die gesamte internationale Anmeldung. 
IS Anspruche Nr. 16-20. 

Begrundung: 
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□ Die gesamte internationale Anmeldung, bzw. die obengenannten Anspruche Nr. beziehen sich auf den 
nachstehenden Gegenstand, fur den keine internationale vorlaufige Prufung durchgefuhrt werden braucht 
(genaue Angaben): 



EJ Die Beschreibung, die Anspruche oder die Zeichnungen (machen Sie hierzu nachstehend genaue Angaben) 
Oder die obengenannten Anspruche Nr. 16-20 sind so unklar, daB kein sinnvolles Gutachten erstellt werden 
konnte (genaue Angaben): 

siehe Beiblatt 

□ Die Anspruche bzw. die obengenannten Anspruche Nr. sind so unzureichend durch die Beschreibung 
gestutzt, daB kein sinnvolles Gutachten erstellt werden konnte. 

□ Fur die obengenannten Anspruche Nr. wurde kein internationaler Recherchenbericht erstellt. 



V. Begrundete Feststellung nach Artikel 35(2) hinsichtlich der Neuheit, der erfinderischen Tatigkeit und der 
gewerblichen Anwendbarkeit; Unterlagen und Erklarungen zur Stittzung dieser Feststellung 

1 . Feststellung 

Neuheit (N) Ja: Anspruche 1-15 

Nein: Anspruche 

Erfinderische Tatigkeit (ET) Ja: Anspruche 1-15 

Nein: Anspruche 

Gewerbliche Anwendbarkeit (GA) Ja: Anspruche 1-15 

Nein: Anspruche 



2. Unterlagen und Erklarungen 
siehe Beiblatt 



VII. Bestimmte Mangel der internationalen Anmeldung 

Es wurde festgestellt, daB die internationale Anmeldung nach Form oder Inhalt folgende Mangel aufweist: 
siehe Beiblatt 



VIII. Bestimmte Bemerkungen zur internationalen Anmeldung 

Zur Klarheit der Patentanspruche, der Beschreibung und der Zeichnungen oder zu der Frage, ob die Anspruche 
in vollem Umfang durch die Beschreibung gestutzt werden, ist folgendes zu bemerken: 

siehe Beiblatt 
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Es wird auf die folgenden Dokumente verwiesen: 

D1: David Solomon, Inside Microsoft Windows NT, 2. Aufl., in deutscher 

Ubersetzung erschienen in Microsoft Press 1998, englische Originalausgabe 
verdffentlicht im Mai 1998 bei Microsoft Press, Seiten 219-221, 303-323 

D2: William Stallings, Operating Systems, 3. Aufl., erschienen bei Prentice Hall 
Dezember 1997, Seiten 632-636, 668,670-674. 

Die Dokumente D1 und D2 wurden im internationalen Recherchenbericht nicht 
angegeben. Eine Kopie der Dokumente liegt bei. 

Zu Punkt I 

Grundlage des Berichts 

Die nachfolgend aufgefuhrten Anderungen bringen Sachverhalte ein, die im 
Widerspruch zu Artikel 34 (2) b) PCT uber den Offenbarungsgehalt der internationalen 
Anmeldung im Anmeldezeitpunkt hinausgehen: 

(i) Die in den ursprunglichen unabhangigen Anspruchen verwendete Formulierung 

"bei derm wahrend des Ablaufs eines zu schutzenden Programms und/oder 
einer zu schutzenden Datei" 

wurde in den geanderten unabhangigen Anspruchen durchgangig durch die 
Formulierung 

"bei dem wahrend des Ablaufs eines zu schutzenden Programms und/oder 
einer Bearbeitunq einer zu schutzenden Datei" 

ersetzt, ohne dass sich dafur eine Grundlage in der ursprunglichen Offenbarung 
findet. 

(ii) Im geanderten Anspruch 4 wird das Merkmal neu eingefuhrt, dass 
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"die Uberprufungsfunktion als dynamisch bindbare Datei in den Adressraum 
des zu schutzenden Programms und/oder der zu schutzenden Datei 
eingebunden ist". 

Aus der urspriinglichen Offenbarung geht zwar hervor, dass 

(a) "jedem zu schutzenden Programm und/oder jeder zu schutzenden Datei 
jeweiis ein Adressraum zugeordnet ist" (s. urspriinglicher Anspruch 1 oder 
Beschreibung, S. 4, Z. 3-4), und dass 

(b) "die Uberprufungsfunktion als dynamisch bindbare Datei in den Adressraum 
eingebunden ist" (s. ursprunglicher Anspruch 5). 

Es ist jedoch fur den Fachmann nicht ersichtlich, dass der in (b) genannte 
Adressraum sich auf den speziellen, in (a) genannten Adressraum bezieht und 
nicht auf den allgemeinen Adressraum eines Computersystems. 

Deshalb wird der Bericht erstellt, als seien die Anderungen aus (i) und (ii) nicht 
gemacht worden. 



Zu Punkt III 

Keine Erstellung eines Gutachtens uber Neuheit, erfinderische Tatigkeit und 
gewerbliche Anwendbarkeit 

Eine Erstellung eines Gutachtens uber Neuheit, erfinderische Tatigkeit und gewerbliche 
Anwendbarkeit ist fur die Anspruche 16-20 wegen Mangel an Klarheit (Artikel 6 PCT) 
aus folgenden Grunden nicht moglich: 

Unter einem Prozessor wird in der Informatik im allgemeinen eine 

"Funktionseinheit einer Rechenanlage, in der mindestens das Steuerwerk, 
das Rechenwerk und die zugehorigen Register zusammengefasst sind" ( s. 
Duden Informatik, Bibliographisches Institut & Brockhaus AG, 1988) 
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verstanclen. 

Auch in der Anmeldung wird der Begriff Prozessor offenbar in diesem Sinne 
verwendet (s. Beschreibung, S. 8, Z. 11-13) . 

Es ist nicht klar, wie die in den Anspruchen 16, 17, 20 aufgezeigten Schritte 

eine Anordnung rnit einem zur Durchfuhrung dieser Schritte eingerichteten 
Prozessor 

abgrenzen 

zu einer Anordnung mit einem bereits bekannten Prozessor, 

da diese Schritte offenbar auch in einer Anordnung mit einem bereits bekannten 
Prozessor ohne eigene Anpassung z.B. des Steuerwerks, des Rechenwerks oder 
der Register, durchfuhrbar sind . 

Bemerkunq : 

Aus der voriiegenden Beschreibung (s. z.B. S. 18, Z. 21-25) wird klar, dass sich 
die Anspruche 16-20 beziehen auf 

eine Anordnung in einem Computersystem zum Schutz mehrerer 

Programme vor einem unbefugten Zugriff durch einen Prozess, 

mit einem Prozessor, der die in Anspruch 17 bzw. 18 angegebenen Schritte 

durchfuhrt . 

bzw. 

einen Satz mehrerer Anordnungen in jeweils einem Computersystem und 
eine mit jeder Anordnung des Satzes mehrerer Anordnungen verbundenen 
Server-Anordnung in einem Computersystem zum Schutz mehrerer 
Programme vor einem unbefugten Zugriff durch einen Prozess, 
wobei jede Anordnung einen Prozessor aufweist, der die in Anspruch 20 fur 
Prozessoren dieser Anordnungen angegebenen Schritte durchfuhrt . 
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Anspruche, die den Anspruchen 16-20 entsprechen und zusatzlich derail 
klargestellt sind, sind hinsichtlich der Neuheit, der erfinderischen Tatigkeit und der 
gewerblichen Anwendbarkeit genauso zu beurteilen wie die entsprechenden 
Verfahrensanspruche 1-3 und 6. 

Zu Punkt V 

Begrundete Feststellung nach Artikel 35(2) hinsichtlich der Neuheit, der 
erfinderischen Tatigkeit und der gewerblichen Anwendbarkeit; Unterlagen und 
Erklarungen zur Stutzung dieser Feststellung 

Das in den Anspruchen 1-15 beschriebene Verfahren dient dem Schutz rnehrerer 
Programme und/oder rnehrerer Dateien vor einem unbefugten Zugriff durch einen 
Prozess. 

Stand der Technik: 

D1 und D2 offenbaren anhand des Betriebssystems Windows NT 4.0 ein 
Verfahren, das alle Merkmale des Gegenstandes der unabhangigen Anspruche 1 
und 2 beinhaltet, mit Ausnahme der Merkmale, die sich auf Bildung, Speicherung 
und den Vergleich kryptografischer Werte beziehen. 

Problem: 

Dem in den Anspruchen 1-15 beschriebenen Verfahren liegt das Problem zu 
Grunde, mehrere Programme und/oder mehrere Dateien vor einem unbefugten 
Zugriff durch einen Prozess zu schutzen unter Verwendung eines 
Betriebssystems, welches grundsatzlich Sicherheitslucken aufweist. 

Losung: 

Das aus dem Stand der Technik bekannte Verfahren wird durch die in den 
Anspruchen 1 und 2 angegebenen Schritte erganzt, die sich auf Bildung, 
Speicherung und den Vergleich kryptografischer Werte beziehen. 
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Die Veranderung des Verfahrens aus dem Stand der Technik gemaB dieser 
Merkmale wird 

weder durch die im Recherchenbericht angegebenen Dokumente 
noch durch D1 oder D2 

noch durch das in Fachkreisen allgemein verbreitete Wissen, dass in einem 
Computersystem in einer Passwortdatei, durch die der Zugang zu 
Ressourcen, die den einzelnen Benutzer zuganglich gemacht sind, 
kontrolliert wird, die Passworter der Benutzer als kryptografische Werte 
gespeichert werden, 

aufgezeigt oder nahe gelegt. 



Zu Punkt VII 

Bestimmte Mangel der internationalen Anmeldung 

(i) Die unabhangigen Anspruche 1, 2, 16, 17, 20 sind nicht in der zweiteiligen Form 
nach Regel 6.3 b) PCT abgefaBt. Im vorliegenden Fall erscheint die Zweiteilung 
jedoch zweckmaBig. Folglich gehoren die in Verbindung miteinander aus dem 
Stand der Technik bekannten Merkmale von Windows NT4.0, wie beschrieben in 
D1 und D2, in den Oberbegriff (Regel 6.3 b) i) PCT) und die ubrigen Merkmale in 
den kennzeichnenden Teil (Regel 6.3 b) ii) PCT). 

(ii) Die Merkmale der Anspruche sind nicht mit in Klammern gesetzten 
Bezugszeichen versehen worden (Regel 6.2 b) PCT). 

(iii) Die Beschreibung steht nicht, wie in Regel 5.1 a) iii) PCT vorgeschrieben, in 
Einklang mit den Anspruchen. 

(iv) Im Widerspruch zu den Erfordernissen der Regel 5.1 a) ii) PCT werden in der 
Beschreibung weder der in D1 und D2 bzgl. Windows NT4.0 offenbarte 
einschlagige Stand der Technik noch diese Dokumente angegeben. 
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Zu Punkt VIII 

Bestimmte Bemerkungen zur internationalen Anmeldung 

Siehe Bemerkungen zu Punkt III. 
Weitere Bemerkungen: 

Die Anspruche 1-20 erfullen nicht die Erfordernisse des Artikels 6 PCT. 

Die Anspruche 1 und 2 bzw. 16 und 17 wurden zwar als getrennte, unabhangige 
Anspruche derselben Kategorie abgefaBt, sie scheinen sich aber tatsachlich bzgl 
des zu schutzenden Gegenstands zu uberlappen und sind somit nicht knapp ge- 
faBt. Dadurch ist es schwierig, den Gegenstand des Schutzbegehrens zu 
ermitteln, und Dritten wird die Feststellung des Schutzumfangs erschwert. 
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Paten tan sprliche 

1. Verfahren zum Schutz mehrerer Programme und/oder mehrerer 
Dateien vor einem unbefugten Zugriff durch einen Prozefi, 

5 - bei dent jedem zu schiitzenden Programm und/oder jeder zu 
schiitzenden Datei jeweils ein Adrefiraum zugeordnet ist, 

- bei dem jedem zu schiitzenden Programm und/oder jeder zu 
schiitzenden Datei jeweils eine Prozefi-Datei zugeordnet ist, 

- bei dem in einer Prozefi-Datei gespeichert ist, welcher Pro- 
10 zefi oder welche Prozesse in dem jeweiligen Adrefiraum ablaufen 

darf oder diirfen, 

- bei dem fur zumindest einen Teil der in einer Prozefi-Datei 
angegebenen Prozesse ein den Prozefi eindeutig kennzeichnender 
kryptographischer Wert gebildet wird, 

15 - bei dem in der Prozefi-Datei jeweils der kryptographische 
Wert eines Prozesses enthalten ist, 

- bei dem wahrend des Ablaufs eines zu schiitzenden Programms 
und/oder einer Bearbeitung einer zu schiitzenden Datei fiir ei- 
nen Prozefi, der auf den Adrefiraum des zu schiitzenden Pro- 

20 gramms und/oder der zu schiitzenden Datei zugreifen will iiber- 
priift wird, ob der zugreifende Prozefi in der entsprechenden 
Prozefi-Datei angegeben ist, 

- bei dem fiir den zugreifenden Prozefi dessen kryptographi- 
scher Wert gebildet wird, 

25 - bei dem bei der Uberpriifung die kryptographischen Werte der 
Prozesse miteinander verglichen werden 

- bei dem fiir den Fall, dafi der, zugreifende Prozefi in der 
Prozefi-Datei angegeben ist, der zugreifende Prozefi gestartet 
wird, und 

30 - sonst der zugreifende Prozefi nicht gestartet wird. 

2. Verfahren zum Schutz mehrerer Programme und/oder mehrerer 
Dateien vor einem unbefugten Zugriff durch einen Prozefi, 

- bei dem jedem zu schiitzenden Programm und/oder jeder zu 
35 schiitzenden Datei jeweils ein Adrefiraum zugeordnet ist, 

- bei dem jedem zu schiitzenden Programm und/oder jeder zu 
schiitzenden Datei jeweils eine Prozefi-Datei zugeordnet ist, 
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- bei dem in einer Prozefi-Datei gespeichert ist, welcher Pro- 
zeB oder welche Prozesse in dem jeweiligen Adreflraum. ablaufen 
darf oder durfen, 

- bei dem fur zumindest einen Teil der in einer ProzeB-Datei 
5 angegebenen Prozesse ein den ProzeB eindeutig kennzeichnender 

kryptographischer Wert gebildet wird, 

- bei dem in der Prozefi-Datei jeweils der kryptographische 
Wert eines Prozesses enthalten ist, 

- bei dem wahrend des Ablaufs eines zu schtitzenden Programms 
10 und/oder einer Bearbeitung einer zu schtitzenden Datei fur ei- 
nen ProzeB, der auf den AdreBraum des zu schtitzenden Pro- 
gramms und/oder der zu schtitzenden Datei zugreifen will tiber- 
prtift wird, ob der zugreifende ProzeB in der entsprechenden 
Prozefl-Datei angegeben ist, 

15 - bei dem ftir den zugreifenden ProzeB dessen kryptographi- 
scher Wert gebildet wird, 

- bei dem bei der Uberprtifung die kryptographischen Werte der 
Prozesse miteinander verglichen werden 

- bei dem ftir den Fall, dafi der zugreifende ProzeB in der 

20 ProzeB-Datei angegeben ist, der zugreifende ProzeB weiterge- 
fiihrt wird, und 

- sonst der zugreifende ProzeB beendet wird. 

3. Verfahren nach Anspruch 1 oder 3, 
2 5 bei dem in einem Auf rufmechanismus ftir eine Funktion eines 

Betriebssystemkerns, mit dem die Programme ausgefiihrt werden, 
ein Aufruf des zugreifenden Prozesses einer Uberpriifungs funk- 
tion zugeleitet wird, in der die Oberprtifung erfolgt. 

30 4. Verfahren nach Anspruch 3, 

bei dem die Uberprtifungs funktion als dynamisch bindbare Datei 
in den AdreBraum des zu schtitzenden Programms und/oder der zu 
schtitzenden Datei eingebunden wird. 

35 5. Verfahren nach Anspruch 1 oder 2, 
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- bei dem ein Aufruf des zugreifenden Prozesses einer Uber- 
priifungsfunktion zugeleitet wird, in der die Oberpriifung er- 
folgt, unci 

- bei dein die Uberpriif ungsfunktion in einen Betriebssystem- 
5 kern eines Betriebssysterns, mit dem die Programme ausgefiihrt 

werden, integriert ist. 

6. Verfahren nach einem der Anspriiche 1 bis 5, 
bei dem das Betriebssystem Windows NT ist. 

10 

7. Verfahren nach einem der Anspriiche 1 bis 6, 

bei dem in einem vorgebbaren Zeitabstand fur jeden aktiven 
ProzeJl, der zusammen mit einem zu schiitzenden Programm 
und/oder einer zu schiitzenden Datei ablauft, Uberprtift wird, 
15 ob der aktive Prozeii in der ProzeJi-Datei, die dem zu schiit- 
zenden Programm und/oder der zu schiitzenden Datei zugeordnet 
ist, enthalten ist und der ProzeB beendet wird, falls dies 
nicht der Fall ist. 

20 8. Verfahren nach einem der Anspriiche 1 bis 7, 

bei dem abhangig vd>n einem vorgebbaren Ereignis fur jeden ak- 
tiven Prozeii, der zusammen mit einem zu schiitzenden Programm 
und/oder einer zu schiitzenden Datei ablauft/ Iiberpriift wird, 
ob der aktive Prozeii in der Prozeii-Datei, die dem zu schiit- 

25 zenden Programm zugeordnet ist, enthalten ist und der Prozeii 
beendet wird, falls dies nicht der Fall ist. 

9. Verfahren nach einem der Anspriiche 1 bis 8, 

bei dem ein Schutzprogramm zum Schutz des Verfahrens nach ei- 
30 nera der vorangegangenen Anspriiche ausflihrbar ist, versctiliis- 
selt gespeichert ist und zu Beginn des Verfahrens entschliis- 
selt wird 

10. Verfahren nach einem der Anspriiche 1 bis 9, 

35 bei dem die zu schiitzenden Programme und/oder die zu schiit- 
zenden Dateien, verschliisselt gespeichert sind und zu Beginn 
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des Verfahrens nach einem der vorangegangenen Ansprtiche ent- 
schliisselt werden. 

11. Verfahren nach Anspruch 9, 
5 bei dem nach der Entschltisselung des Schutzprogramms dessen 
Integritat tiberprtift wird und das Verfahren nach einem der 
vorangegangenen Ansprilche nur ausgefuhrt wird, wenn die In- 
tegritat des Schutzprogramms gewahrleistet ist. 

10 12. Verfahren nach Anspruch 11, 

bei dem nach der Integritatsprufung des Schutzprogramms die 
Integritat aller in den Prozeli-Dateien enthaltenen Prozesse 
tiberprtift wird und das Verfahren nach einem der vorangegange- 
nen Ansprtiche nur ausgefuhrt wird, wenn die Integritat aller 

15 in den Prozefi-Dateien enthaltenen Prozesse gewahrleistet ist. 

13. Verfahren nach Anspruch 12, 

bei dem nach der Integritatsprufung der Prozesse die Integri- 
tat des zu schtitzenden Programms und/oder der zu schutzenden 
20 Datei tiberprtift wird und das Verfahren nach einem der voran- 
gegangenen Ansprtiche nur ausgefuhrt wird, wenn die Integritat 
des zu schtitzenden Programms und/oder der zu schutzenden Da- 
tei gewahrleistet ist. 

25 14. Verfahren nach Anspruch 12 oder 13, 

bei dem mindestens eine der Integritatsprufung unter Verwen- 
dung eines kryptographischen Verfahrens erfolgt- 

15. Verfahren nach einem der Ansprtiche 1 bis 14, 
30 bei dem der kryptographische Wert durch Anwendung einer Hash- 
Funktion gebildet wird 

• 16. Anordnung zum Schutz mehrerer Programme vor einem unbe- 
fugten Zugriff durch einen ProzeB, 
35 mit einem Prozessor, der derart eingerichtet ist, dall folgen- 
de Schritte durchfiihrbar sind: 
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- jedem zu schutzenden Programm und/oder jeder zu schutzenden 
Datei ist jeweils ein AdreBraum zugeordnet, 

- jedem zu schutzenden Programm und/oder jeder zu schutzenden 
Datei ist jeweils eine ProzeB-Datei zugeordnet, 

5 - in einer Prozefi-Datei ist gespeichert, welcher ProzeB oder 
welche Prozesse in dem jeweiligen AdreBraum ablaufen darf o- 
der dUrfen, 

- bei dem fur zumindest einen Teil der in einer Prozefi-Datei 
angegebenen 1 Prozesse ein den ProzeB eindeutig kennzeichnender 

10 kryptographischer Wert gebildet wird, 

- bei dem in der Prozefi-Datei jeweils der kryptographische 
Wert eines Prozesses enthalten ist, 

- bei dem wahrend des Ablaufs eines zu schutzenden Programms 
und/oder einer Bearbeitung einer zu schutzenden Datei ftlr ei- 

15 nen Prozefi, der auf den AdreBraum des zu schutzenden Pro- 
gramms und/oder der zu schutzenden Datei zugreifen will Uber- 
prUf t wird, ob der zugreif ende Prozefi in der entsprechenden 
Prozefi-Datei angegeben ist, 

- bei dem fUr den zugreif enden ProzeB dessen kryptographi- 
2 0 scher Wert gebildet wird, 

- bei dem bei der OberprUfung die kryptographischen Werte der 
Prozesse miteinander verglichen werden 

- bei dem fur den Fall, daB der zugreif ende ProzeB in der 
Prozefi-Datei angegeben ist, der zugreifende ProzeB gestartet 

2 5 wird, und 

- sonst der zugreifende ProzeB nicht gestartet wird. 

17. Anordnung zum Schutz mehrerer Programme vor einem unbe- 
fugten Zugriff durch einen ProzeB, 
30 mit einem Prozessor, der derart eingerichtet ist, daB folgen- 
de Schritte durchfUhrbar sind: 

- jedem zu schutzenden Programm und/oder jeder zu schutzenden 
Datei ist jeweils ein AdreBraum zugeordnet, 

- jedem zu schutzenden Programm und/oder jeder zu schutzenden 
35 Datei ist jeweils eine Prozefi-Datei zugeordnet, 
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- in einer ProzeB-Datei ist gespeichert, welcher ProzeB oder 
welche Prozesse in dera jeweiligen AdreBraum ablaufen darf o- 
der diirfen, 

- bei dem fur zumindest einen Teil der in einer ProzeB-Datei 

5 angegebenen Prozesse ein den ProzeB eindeutig kennzeichnender 
kryptographischer Wert gebildet wird, 

- bei dem in der ProzeB-Datei jeweils der kryptographische 
Wert eines Prozesses enthalten ist, 

- bei dem wahrend des Ablaufs eines zu schiitzenden Programms 
10 und/oder einer Bearbeitung einer zu schiitzenden Datei fur ei- 
nen ProzeB, der auf den AdreBraum des zu schiitzenden Pro- 
gramms und/oder der zu schiitzenden Datei zugreifen will iiber- 
priift wird, ob der zugreifende ProzeB in der entsprechenden 
ProzeB-Datei angegeben ist, 

15 - bei dem fur den zugreifenden ProzeB dessen kryptographi- 
scher Wert gebildet wird, 

- bei dem bei der Oberpriifung die kryptographischen Werte der 
Prozesse miteinander verglichen werden 

- bei dem fur den Fall, daB der zugreifende ProzeB in der 

20 ProzeB-Datei angegeben ist, der zugreifende ProzeB weiterge- 
fiihrt wird, und 

- sonst wird der zugreifende ProzeB beendet . 



18. Anordnung nach Anspruch 16 oder 17, 

25 bei der der Prozessor derart eingerichtet ist, daB in einem 
Aufrufmechanismus fur eine Funktion eines Betriebssystem- 
kerns, mit dem die Programme ausgefiihrt werden, ein Aufruf 
des zugreifenden Prozesses einer trberprttfungs funktion zuge- 
leitet wird, in der die Oberpriifung erfolgt. 

30 

19. Anordnung nach einem der Anspriiche 16 bis 18, 

bei der der Prozessor derart eingerichtet ist, daB das Be- 
triebssystem Windows NT ist. 

35 20. Satz mehrerer Anordnungen und eine mit jeder Anordnung 

des Satzes mehrerer Anordnungen verbundenen Server-Anordnung 
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zum Schutz mehrerer Programme vor einem unbefugten Zugriff 
durch einen ProzeB, 

wobei jede Anordnung einen Prozessor aufweist, der derart 
eingerichtet ist, dafi folgende Schritte durchftihrbar sind: 
5 - jedem zu schtitzenden Programm und/oder jeder zu schtitzenden 
Datei ist jeweils ein Adrefiraum zugeordnet, 

- jedem zu schiitzenden Programm und/oder jeder zu schtitzenden 
Datei ist jeweils eine ProzeB-Datei zugeordnet, 

- in einer ProzeB-Datei ist gespeichert, welcher ProzeB oder 
10 welche Prozesse in dem jeweiligen Adrefiraum ablaufen darf o- 

der diirfen, 

- bei dem ftir zumindest einen Teil der in einer ProzeB-Datei 
angegebenen Prozesse ein den ProzeB eindeutig kennzeichnender 
kryptographischer Wert gebildet wird, 

15 - bei dem in der ProzeB-Datei jeweils der kryptographische 
Wert eines Prozesses enthalten ist, 

- bei dem wahrend des Ablaufs eines zu schiitzenden Programms 
und/oder einer Bearbeitung einer zu schtitzenden Datei ftir ei- 
nen ProzeB , der auf den Adrefiraum des zu schiitzenden Pro- 

20 gramms und/oder der zu schiitzenden Datei zugreifen will tiber- 
priift wird, ob der zugreifende ProzeB in der entsprechenden 
ProzeB-Datei angegeben ist, 

- bei dem ftir den zugreifenden ProzeB dessen kryptographi- 
scher Wert gebildet wird, 

25 - bei dem bei der Oberpriifung die kryptographischen Werte der 
Prozesse miteinander verglichen werden 

- bei dem ftir den Fall, dafi der zugreifende ProzeB in der 
ProzeB-Datei angegeben ist, der zugreifende ProzeB gestartet 
oder weitergeftihrt wird, und 

30 - sonst wird ein Alarmsignal generiert und an die Server- 
Anordnung gesendet, 

und wobei die Server-Anordnung einen Prozessor aufweist, der 
derart eingerichtet ist, daB abhangig von mindestens einem 
empfangenen Alarmsignal eine vorgegebene Aktion ausgelost 
35 wird. 
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INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



International application No. 

PCT/DE99/02013 



I. Basis of the report 



1 . This report has been drawn on the basis of {Replacement sheets which have been furnished to the receiving Office in response to an invitation 
under Article 14 are referred to in this report as "originally filed" and are not annexed to the report since they do not contain amendments,): 

| | the international application as originally filed. 

the description, pages 1-19 , as originally filed, 

pages , filed with the demand, 

pages , filed with the letter of 

pages . , filed with the letter of - 



^ the claims, 



Nos. 
Nos. 
Nos. 
Nos. 
Nos. 



1-20 



, as originally filed, 

, as amended under Article 19, 

, filed with the demand, 
, filed with the letter of 
, filed with the letter of 



29 September 2000 (29.09.20001 



the drawings, 



sheets/fig 
sheets/fig 
sheets/fig 
sheets/fig 



1/6-6/6 



, as originally filed, 
, filed with the demand, 
, filed with the letter of 
, filed with the letter of 



2. The amendments have resulted in the cancellation of: 

□ 

the description, pages 

1^1 the claims, Nos. 21.22 

□ 

the drawings, sheets/fig 



3. 



This report has been established as if (some of) the amendments had not been made, since they have been considered 
to go beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)). 



4. Additional observations, if necessary: 

See separate sheet. 



Form PCT/IPEA/409 (Box I) (January 1994) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



International application No. 

PCT/DE99/02013 



in. Non-establishment of opinion with regard to novelty, inventive step and industrial applicability 



The questions whether the claimed invention appears to be novel, to involve an inventive step (to be non obvious), or to be 
industrially applicable have not been examined in respect of: 

I I the entire international application. 

claims Nos. _ 16-20 



because: 



□ the said international application, or the said claims Nos. ^ i 
relate to the following subject matter which does not require an international preliminary examination (specify): 



M the description, claims or drawings (indicate particular elements below) or said claims Nos. 16-20 

are so unclear that no meaningfulopinion could be formed (specify): 

See separate sheet. 



□ the claims, or said claims Nos. are so inadequately supported 
by the description that no meaningful opinion could be formed. 

1 | no international search report has been established for said claims Nos. 
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I. Basis of the report 

1 . This report has been drawn on the basis of (Replacement sheets which have been furnished to the receiving Office in response to an invitation 
under Article 14 are referred to in this report as "originally filed" and are not annexed to the report since they do not contain amendments.) : 

CONTINUATION OF BOX 1.3 

The following amendments introduce substantive matter 
which goes beyond the disclosure of the international 
application as filed, thereby contravening PCT Article 
34 (2) (b) : 

(i) The wording used in the original independent claims, 

M in which during the execution of a program and/or 
data file to be protected", 

has been replaced in all amended independent claims by 
the wording, 

"in which during the execution of a program to be 
protected and/or processing of a data file to be 
protected" , 

although no basis for this amendment can be found in the 
original disclosure . 

(ii) In the amended Claim 4, a new feature is introduced, 
whereby 

"the checking function is linked as a dynamically 
linkable file to the address space of the program 
and/or data file to be protected." 

In the original disclosure, it is stated that 
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lational application No. 
PCT/DE 99/02013 



I. Basis of the report 



This report has been drawn on the basis of (Replacement sheets which have been furnished to the receiving Office in response to an invitation 
under Article 14 are referred to in this report as "originally filed" and are not annexed to the report since they do not contain amendments.) : 

(a) "an address space is associated with each 
program and/or data file to be protected" (see 
original Claim 1 or description, page 4, lines 
3-4), and 

(b) "the checking function is linked as a 
dynamically linkable data file to the address 
space" (see original Claim 5). 

However, it is not clear to a person skilled in the art 
that the address space in point (b) concerns the special 
address space in point (a) , and not the general address 
space of a computer system. 



Consequently, the report is established as if the 
amendments (i) and (ii) had not been made. 
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Supplemental Box 

(To be used when the space in any of the preceding boxes is not sufficient) 

Continuation of: BOX III 

An expert opinion on the novelty, inventive step and 
industrial applicability of Claims 16-20 is not possible 
for lack of clarity (PCT Article 6) regarding the 
following aspects : 

In information technology, a processor is generally 
understood to be a 

"functional unit of a computer system combining at 
least the control unit, the arithmetic-logic unit 
and the associated register" (see Duden Informatik, 
Bibliographisches Institut & Brockhaus AG, 1988) . 

The application also clearly uses the term processor in 
this sense (see the description, page 8, lines 11-13). 

It is not clear how the steps defined in Claims 16, 17 
and 20 delimit a device for carrying out these steps from 
a device comprising the already known processor, since 
these steps can clearly also be carried out by a device 
comprising an already known processor, without any 
adaptation of the control unit, arithmetic-logic unit or 
register . 

Observation : 

It is clear from the present description (see e.g. page 
18, lines 21-25) that Claims 16-20 concern 

a device in a computer system for protecting a 
plurality of programs from unauthorised access by a 
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Supplemental Box 

(To be used when the space in any of the preceding boxes is not sufficient) 



Continuation of: BOX III 



process and comprising a processor that carries out 
the steps defined in Claims 17 and 18, 



and 



a set of a plurality of devices each in a computer 
system and a server arrangement connected to each 
device of the set of a plurality of devices in a 
computer system for protecting a plurality of 
programs from unauthorised access by a process, 
each device comprising a processor that carries out 
the steps defined in Claim 20 for the processors of 
said devices. 



The novelty, inventive step and industrial applicability 
of claims corresponding to Claims 16-20 and clarified in 
this way should be assessed as those of the corresponding 
method Claims 1-3 and 6. 
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V. Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 



1 . Statement 

Novelty (N) 

Inventive step (IS) 
Industrial applicability (IA) 



Claims 
Claims 

Claims 
Claims 

Claims 
Claims 



1-15 



1-15 



1-15 



YES 
NO 
YES 
NO 

YES 
NO 



Citations and explanations 

This report makes reference to the following documents: 

Dl : David Solomon, Inside Microsoft Windows NT, second 
edition, German translation published by Microsoft 
Press 1998, English original edition published in 
May 1998 by Microsoft Press, pages 219-221, 303-323 

D2 : William Stallings, Operating Systems, third edition, 
published by Prentice Hall, December 1997, pages 
632-636, 668, 670-674. 



Documents Dl and D2 were not cited in the international 
search report. A copy of these documents is attached. 



The method described in Claims 1-15 is used for protecting 
a plurality of programs and/or data files from 
unauthorised access by a process. 



Prior art: 



Dl and D2 disclose in the operating system Windows 
NT 4.0 a method having all the features of the 
subject matter of independent Claims 1 and 2, except 
for the features relating to the formation, storage 
and comparison of cryptographic values. 
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Problem: 

The method described in Claims 1-15' addresses the 
problem of protecting a plurality of programs and/or 
data files from unauthorised access by a process, 
using an operating system suffering from fundamental 
security shortcomings . 

Solution: 

The method known from the prior art is complemented 
by the steps as per Claims 1 and 2, which concern 
the formation, storage and comparison of 
cryptographic values. 

The alteration of the prior art method to include these 
features is neither disclosed nor suggested by 

the search report citations 
Dl or D2 

or the general professional knowledge that user 
passwords are stored as cryptographic values in a 
computer system having a password file for 
controlling access to resources made available to 
the individual users. 
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VII. Certain defects in the international application 

The following defects in the form or contents of the international application have been noted: 

(i) Independent Claims 1, 2, 16, 17 and 20 are not 
drafted in the two-part form defined by PCT Rule 
6.3(b). However, the two-part form would appear to 
be appropriate in this case. Accordingly, the 
features of Windows NT 4.0 known in combination 
from the prior art (as described in documents Dl 
and D2) should be set out in a preamble (PCT Rule 
6.3(b) (i) ) and the remaining features should be 
specified in a characterising part (PCT Rule 

6. 3 (b) (ii) ) . 

(ii) The features of the claims are not followed by 
reference signs placed between parentheses (PCT 
Rule 6.2(b)). 

(iii) Contrary to PCT Rule 5.1(a) (iii), the description 
is not in line with the claims. 

(iv) Contrary to PCT Rule 5.1(a) (ii), the description 
does not cite documents Dl and D2 and does not 
indicate the relevant prior art concerning Windows 
NT 4.0 disclosed therein. 
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VIII. Certain observations on the international application 

The following observations on the clarity of the claims, description, and drawings or on the question whether the claims are fully 
supported by the description, are made: 

See observations in Box III. 
Further observations : 

Claims 1-20 do not meet the requirements of PCT Article 6. 

Although Claims 1-2 and 16-17 have been drafted as 
separate independent claims of the same category, 
respectively, the subject matter for which protection is 
sought in these claims actually appears to overlap, and 
they are therefore not concise. This makes it hard to 
identify the subject matter for which protection is 
sought, and it is therefore unreasonably difficult for a 
third party to determine the scope of protection. 
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1. Method for protecting several programs and/or several files from unauthorized access by a 
process, 

- in which each program and/or each file to be protected is assigned an address space, 

- in which each program and/or each file to be protected is also assigned a process file, 

- in which the process or processes that may run in the address space in question is or are stored in a 
process file, 

- in which, during the running of a program and/or a file to be protected, for a process that attempts 
to access the address space of the program and/or the file to be protected, a check is made to 
confirm whether the accessing process is included in the corresponding process file, 

- in which, if the accessing process is included in the process file, the accessing process is started, 
and 

- otherwise, the accessing process is not started. 

2. Method for protecting several programs and/or several files from unauthorized access by a 
process, 

- in which each program and/or each file to be protected is assigned an address space, 

- in which each program and/or each file to be protected is also assigned a process file, 

- in which the process or processes that may run in the address space in question is or are stored in a 
process file, 

- in which, during the running of a program and/or a file to be protected, for a process that attempts 
to access the address space of the program and/or a file to be protected, a check is made to confirm 
whether the accessing process is included in the corresponding process file, 
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- in which, if the accessing process is included in the process file, the accessing process is continued, and 

- otherwise, the accessing process is ended. 

3. Method according to Claim 1 or 2, 

- in which for at least a part of the processes included in a process file, a cryptographic value that 
uniquely identifies the process is formed, 

- in which the cryptographic value of one process is contained in the process file, 

- in which the accessing process's cryptographic value is formed, and 

- in which the cryptographic values of the processes are compared with each other during the check. 

4. Method according to one of the Claims 1 through 3, 

in which in a call mechanism for a function of an operating system core with which the programs 
are executed, a call of the accessing process is forwarded to a checking function in which the check 
is carried out. 

5. Method according to Claim 4, 

in which the checking function can be integrated into the address space as a dynamically integrated 
file. 

6. Method according to one of the Claims 1 through 3, 

- in which a call of the accessing process is forwarded to a checking function in which the check 
takes place, and 

- in which the checking function is integrated into an operating system core of an operating system 
with which the programs are executed. 

7. Method according to one of the Claims 1 through 6, 
in which the operating system is Windows NT. 
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8. Method according to one of the Claims 1 through 7, 

in which at a predetermined interval of time for each active process that runs along with a program 
and/or a file to be protected, a check is made to confirm whether the active process is contained in 
the process file that is assigned to the program and/or the file to be protected, and the process is 
ended if that is not the case. 

9. Method according to one of the Claims 1 through 8, 

in which in dependency on a predetermined event for each active process that runs along with a 
program and/or a file to be protected, a check is made to confirm whether the active process is 
contained in the process file that is assigned to the program to be protected, and the process is ended 
if that is not the case. 

10. Method according to one of the Claims 1 through 9, 

in which a protection program, which is set up in a way such that the method can be executed, is 
stored encoded and is decoded at the start of the method. 

11. Method according to one of the Claims 1 through 10, 

in which the programs and/or the files to be protected are stored encoded and are decoded at the 
start of the method. 

12. Method according to Claim 10, 

in which after the decoding of the protection program, its integrity is checked and the method is 
executed only if the integrity of the protection program is assured. 

13. Method according to Claim 12, 

in which after the integrity test of the protection program, the integrity of all processes contained in 
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the process files is checked and the method is executed only if the integrity of the protection 
program is assured. 

14. Method according to Claim 13, 

in which after the integrity test of the processes, the integrity of the program and/or the file to be 
protected is checked and the method is executed only if the integrity of the protection program is 
assured. 

15. Method according to Claim 13 or 14, 

in which at least one of the integrity tests takes place through the use of a cryptographic method. 

16. Method according to one of the Claims 3 through 15, 

in which the cryptographic value is formed through the use of a hash function. 

17. Array for protecting several programs from unauthorized access by a process, 
with a processor that is set up in a way such that the following steps can be carried out: 

- an address space is assigned to each program and/or each file to be protected, 

- a process file is assigned to each program and/or each file to be protected, 

- the process or processes that may run in the address space in question is or are stored in a process 
file, 

- during the running of a program and/or a file to be protected, for a process that attempts to access 
the address space of the program and/or the file to be protected, a check is made to confirm whether 
the accessing process is included in the corresponding process file, 

- if the accessing process is included in the process file, the accessing process is started, and 

- otherwise, the accessing process is not started. 
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18. Array for protecting several programs from unauthorized access by a process, 
with a processor that is set up in a way such that the following steps can be carried out: 

- an address space is assigned to each program and/or each file to be protected, 

- a process file is assigned to each program and/or each file to be protected, 

- the process or processes that may run in the address space in question is or are stored in a process 
file, 

- during the running of a program and/or a file to be protected, for a process that attempts to access 
the address space of the program and/or the file to be protected, a check is made to confirm whether 
the accessing process is included in the corresponding process file, 

- if the accessing process is included in the process file, the accessing process is continued, and 

- otherwise, the accessing process is terminated. 

19. Array according to Claim 17 or 18, 

in which the processor is set up in such a way that 

- for at least a part of the processes included in a process file, a cryptographic value that uniquely 
identifies the process is formed, 

- the cryptographic value of one process is contained in the process file, 

- for the accessing process whose cryptographic value is formed, and 

- the cryptographic values of the processes are compared with each other during the check. 

20. Array according to one of the Claims 17 through 19, 

in which the processor is set up in such a way that in a call mechanism for a function of an operating 
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system core with which the programs are executed, a call of the accessing process is forwarded to a 
checking function in which the check is carried out. 

21. Array according to one of the Claims 17 through 20, 

in which the processor is set up in such a way that the operating system is Windows NT. 

22. Set of several arrays and a server array which is connected with each array of the set of several 
arrays and which is to protect several programs from unauthorized access by a process, 

whereby each array exhibits a processor that is set up in such a way that the following steps can be 
carried out: 

- an address space is assigned to each program and/or each file to be protected, 

- a process file is assigned to each program and/or each file to be protected, 

- the process or processes that may run in the address space in question is or are stored in a process 
file, 

- during the running of a program and/or a file to be protected, for a process that attempts to access 
the address space of the program and/or the file to be protected, a check is made to confirm whether 
the accessing process is included in the corresponding process file, 

- if the accessing process is included in the process file, the accessing process is started or 
continued, and 

- otherwise an alarm signal is generated and sent to the server array, 

and whereby the server array exhibits a processor that is set up in such a way that a predetermined 
action is triggered in dependency on at least one received alarm signal. 
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